3. Diritto alla privacy e diritto alla protezione dei dati personali:
3.2. Il diritto alla protezione dei dati personali nella
di Strasburgo e di Lussemburgo
Non si può prescindere dal far riferimento alla giurisprudenza della Corte europea dei diritti dell’uomo, sia per il rapporto di dialogo instauratosi tra i giudici di Strasburgo e quelli di Lussemburgo, sia perché, alla luce dell’art. 52, par. 3 della Carta di Nizza104
, i diritti corrispondenti a quelli contemplati dalla CEDU devono essere riempiti di contenuto in base alla lettura prospettata dalla Corte di Strasburgo.
In via preliminare, va osservato che la formulazione dell’art. 8 CEDU risulta ermetica e non esplicita quale sia lo scopo della protezione della privacy, né tanto meno sancisce expressis verbis un diritto alla protezione dei dati personali.
Tuttavia, i casi in materia di protezione dei dati affrontati dalla Corte di Strasburgo alla luce dell’art. 8 CEDU offrono spunti significativi per approfondire le relazioni tra il diritto alla privacy ed il diritto alla protezione dei dati personali.
Sebbene nell’intenzione dei redattori della Convenzione la “vita privata” fosse principalmente destinata a coprire la sfera intima della persona, ponendola al riparo dalle ingerenze arbitrarie dei poteri
103
Si richiama un passo di uno studio commissionato dall’Information
Commissioner's Office (l’autorità garante per il Regno Unito):<<The Directive,
therefore, serves a number of purposes, privacy protection being only one. Its rules fulfil a range of functions in practice, including encouraging freedom of expression, preventing discrimination and improving efficiency>>. V. RAND Europe,
Technical Report on the Review of the European Data Protection Directive, TR-
710-ICO, 2009, p. 7.
104
<<Laddove la presente Carta contenga diritti corrispondenti a quelli garantiti dalla Convenzione europea per la salvaguardia dei Diritti dell'Uomo e delle Libertà fondamentali, il significato e la portata degli stessi sono uguali a quelli conferiti dalla suddetta convenzione. La presente disposizione non preclude che il diritto dell'Unione conceda una protezione più estesa>>.
51
pubblici, la giurisprudenza nella sua opera ermeneutica si è spinta ben oltre quegli angusti confini.
La Corte europea dei diritti dell’uomo ha cercato di assicurare una maggiore protezione, sostenendo una nozione estensiva di diritto al rispetto della vita privata. In tal modo, ha ricondotto nell’alveo dell’art. 8 CEDU un’ampia gamma di interessi, che non si esauriscono nel diritto ad essere lasciati soli, ma ricomprendono, altresì, il diritto al nome, il diritto all’immagine, all’integrità fisica e morale, il diritto all’identità personale, l’accesso alle informazioni e ai documenti pubblici, la segretezza della corrispondenza, l’inviolabilità del domicilio, l’identificazione di genere, la libertà di associazione, la libertà di intrattenere relazioni sessuali e il diritto al rispetto dell’orientamento sessuale.
In varie occasioni è stato ribadito che i profili riconducibili alla nozione di rispetto della vita privata non costituiscono un numerus
clausus, con conseguente rinuncia a fissare una volta per tutte una
definizione di privacy105. Progressivamente la Corte ha individuato nell’autodeterminazione un importante principio alla base della sua interpretazione dell’art. 8 CEDU106
.
105
V. ECtHR, 16.12.1992, ricorso n. 13710/88, Serie A n. 251-B, Niemietz c.
Germania, § 29. La Corte affermò di non ritenere <<né possibile né necessario
cercare di definire in maniera esaustiva la nozione di “vita privata”>>, precisando che <<sarebbe tuttavia troppo restrittivo limitarla ad un “cerchio intimo” in cui ciascuno può condurre la sua vita personale nel modo che preferisce e tenere totalmente separato il mondo esterno da questo cerchio. Il rispetto della vita privata deve anche comprendere, in una certa misura, il diritto per l’individuo di nutrire e sviluppare relazioni con i suoi simili>>.
106
V. ECtHR, 29.4.2002, ricorso n. 2346/02, Pretty c. Regno Unito, § 61, ECHR 2002-III:<<la nozione di “vita privata” è una nozione ampia, non suscettibile di una definizione esaustiva. Ricomprende l’integrità fisica e morale della persona (sentenza X e Y c. Paesi Bassi del 26 marzo 1985, Serie A n. 91, p. 11, par. 22). Può perfino inglobare aspetti dell’identità fisica e sociale di un individuo (Mzkulic c. Croazia n. 53176/99 [1° sezione], sentenza del 7 febbraio 2002, par. 53). Elementi quali, ad esempio, l’identificazione sessuale, il nome, la tendenza sessuale e la vita sessuale rientrano nella sfera personale protetta dall’art. 8 (v., per esempio, le sentenze B. c. Francia del 25 marzo 1992, Serie A n. 232-C, par. 63, Burghartz c. Svizzera del 22 febbraio 1994, Serie A n. 280-B, par. 24, Dudgeon c. Regno Unito del 22 ottobre 1991, Serie A n. 45, par. 41 e Laskey, Jaggard e Brown, cit. del 19 febbraio 1997, Recueil 1997-I, par. 36). Tale disposizione tutela altresì il diritto all’evoluzione personale e il diritto di instaurare e intrattenere relazioni con altri
52
Nonostante la dilatazione della sfera operativa del diritto al rispetto della vita privata, non è stata mai suffragata una coincidenza tra le ipotesi di violazione dell’art. 8 CEDU e le fattispecie di illecito trattamento dei dati personali.
L’operatività delle norme in tema di protezione dei dati scatta automaticamente in presenza di qualsiasi trattamento di dati personali, ma ciò non necessariamente costituisce un presupposto per l’applicazione dell’art. 8 CEDU.
La giurisprudenza di Strasburgo ha elaborato alcuni criteri per determinare se l’inosservanza dei principi relativi alla protezione dei dati integri al contempo gli estremi di un’illegittima interferenza nella vita privata ex art. 8 CEDU107. Richiamando i criteri più significativi108, si prendono in esame:
a) la natura dei dati: si valuta se essi siano “intrinsecamente” correlati
alla vita privata dell’individuo o meno, appurando la loro idoneità a denotare la personalità e le opinioni del soggetto considerato;
b) le modalità di trattamento dei dati: si verifica la sussistenza della
conoscenza o del consenso da parte dell’interessato;
c) il contesto nel quale i dati vengono trattati: ad esempio, trovandosi
questi in un registro pubblicamente accessibile, la loro acquisizione esseri umani e il mondo esterno (v., per esempio, Burghartz c. Svizzera, rapporto della Commissione, precitato, par. 47 e Friedl c. Austria, Serie A n. 305-B, rapporto della Commissione, par. 5). Benché non sia stato accertato in nessuno dei casi precedenti che l’art. 8 della Convenzione implichi un diritto all’autodeterminazione in quanto tale, la Corte osserva che la nozione di autonomia personale rispecchia un principio importante sotteso all’interpretazione delle garanzie dell’art. 8>>. Del medesimo tenore, ECtHR, 10.4.2007, ricorso n. 6339/05, Evans c. Regno Unito [GC], § 71, ECHR 2007-I:<<[…] la “vita privata” […] è un termine ampio che ricomprende, inter alia, aspetti dell’identità fisica e sociale di un individuo, inclusi il diritto all’autonomia personale, allo sviluppo della personalità e ad instaurare e sviluppare relazioni con altri esseri umani e il mondo esterno>>.
107
La letteratura sulla giurisprudenza relativa all’art. 8 CEDU è sterminata. Ai fini della presente trattazione, si segnalano alcuni contributi: Paul DE HERT and Serge GUTWIRTH, “Data Protection in the Case Law of Strasbourg and Luxemburg: Constitutionalisation in Action”, cit., pp. 14-29; Lee BYGRAVE, “Data Protection Pursuant to the Right to Privacy in Human Rights Treaties”, International Journal
of Law and Information Technology, 1998, Vol. 6, pp. 254-284.
108
Lee BYGRAVE, “Data Protection Pursuant to the Right to Privacy in Human Rights Treaties”, cit., pp. 262 ss.
53
da parte di terzi, come datori di lavoro o istituti di credito, potrebbe pregiudicare gravemente l’interessato;
d) l’estensione del trattamento: in questa ottica è rilevante, ad
esempio, il carattere sistematico o permanente della raccolta e conservazione dei dati109.
Da questi approdi giurisprudenziali si possono trarre alcune osservazioni fondamentali per segnare i confini tra diritto alla privacy e diritto alla protezione dei dati personali.
Innanzitutto, viene chiarito che non ogni dato personale inerisce indefettibilmente alla vita privata dell’individuo110
.
Al fine di invocare il diritto alla protezione dei dati personali, invece, occorre che i dati siano qualificabili come tali, ossia riferiti ad un soggetto identificato o ragionevolmente identificabile: si prescinde
tout court da eventuali riverberi nella sfera della vita privata e
familiare. Soltanto laddove si verifichi tale ingerenza per effetto del trattamento dei dati, entra in gioco il diritto alla privacy protetto dall’art. 8 CEDU.
Secondariamente, la norma succitata non stabilisce in via sistematica garanzie analoghe a quelle contemplate dalla disciplina in tema di protezione dei dati personali.
109
Un’esemplificazione di questo modus operandi si ritrova in ECtHR, S. e Marper
c. Regno Unito, cit., § 67:<<La semplice conservazione dei dati riguardanti la vita
privata di una persona costituisce ex se una ingerenza ai sensi dell’articolo 8 (cfr.
Leander c. Svezia, 26 marzo 1987, § 48, Serie A n. 116). A tal fine, è privo di
rilevanza il fatto se le informazioni conservate siano poi effettivamente utilizzate o meno (Amann c. Svizzera [GC], n. 27798/95, § 69, CEDH 2000-II). Tuttavia, per stabilire se le informazioni a carattere personale conservate dalle autorità toccano uno dei summenzionati aspetti della vita privata, la Corte deve tenere in debita considerazione il contesto particolare nel quale le informazioni in oggetto sono state raccolte e conservate, nonché la natura dei dati raccolti, le modalità con cui tali dati sono utilizzati e trattati e dei risultati che se ne possono trarre (si veda, mutatis
mutandis, Friedl, citata supra, parere della Commissione, §§ 49-51, e Peck c. Regno Unito, citata supra, § 59)>>.
110
ECtHR, Amann c. Svizzera, cit., § 65:<<the storing of data relating to the
“private life” of an individual (corsivo aggiunto) falls within the application of
Article 8 § 1 (see the Leander v. Sweden judgment of 26 March 1987, Series A no. 116, p. 22, § 48)>>.
54
La Corte ha esteso, tuttavia, alcune di queste garanzie sulla base di una valutazione compiuta caso per caso, riconoscendo, ad esempio, un diritto all’accesso in ragione dell’importanza che le informazioni rivestano per il benessere dell’individuo111
e il diritto ad un ristoro economico in caso di violazione dell’art. 8 CEDU, determinata dal trattamento dei dati personali112.
Il diritto alla protezione dei dati personali presenta, pertanto, un ambito operativo più ampio del diritto alla privacy, perché copre tutte le categorie di dati personali, non solo quelli concernenti la vita privata, ma al contempo risulta più circoscritto, perché il diritto alla
privacy, a sua volta, investe profili che trascendono il mero
trattamento dei dati personali (quali il nome, l’immagine ecc.). Probabilmente, piuttosto che impostare tale articolazione in termini quantitativi, si dovrebbe configurare la questione in termini qualitativi, osservando che il diritto alla privacy è più pervasivo (si sviluppa in orizzontale), mentre il diritto alla protezione dei dati è più specifico e penetrante (si colloca in una dimensione verticale).
Infine, la Corte ha statuito che il requisito di legalità ex art. 8, par. 2 CEDU, implica un certo grado di precisione nelle ipotesi di trattamento dei dati. La base legale, sulla quale si fondano la raccolta, la conservazione e la diffusione dei dati, deve stabilire dei limiti e predisporre garanzie contro eventuali abusi e misure sproporzionate113.
111
V. ECtHR, 7.7.1989, ricorso n. 10454/83, Serie A n. 160, Gaskin c. Regno
Unito, § 49.
112
V. ECtHR, Rotaru c. Romania, cit., § 83.
113
V. ECtHR, 13.11.2012, ricorso n. 24029/07, M.M. c. Regno Unito, § 195:<<The Court considers it essential, in the context of the recording and communication of criminal record data as in telephone tapping, secret surveillance and covert intelligence-gathering, to have clear, detailed rules governing the scope and application of measures; as well as minimum safeguards concerning, inter alia, duration, storage, usage, access of third parties, procedures for preserving the integrity and confidentiality of data and procedures for their destruction, thus providing sufficient guarantees against the risk of abuse and arbitrariness (see S.
and Marper, cited above, § 99, and the references therein) […]>>; ivi, § 200:
<<Further, the greater the scope of the recording system, and thus the greater the amount and sensitivity of data held and available for disclosure, the more important
55
Nel paragrafo 57 della decisione Rotaru c. Romania viene indirettamente precisato il contenuto minimale che una legge in materia di trattamento dei dati personali deve presentare. In quell’occasione la Corte ha censurato la normativa nazionale, perché <<[…] la suddetta legge non definisce il tipo di informazioni che possono essere registrate, le categorie delle persone suscettibili di essere oggetto di misure di sorveglianza, quali la raccolta e la conservazione dei dati, le circostanze in cui tali misure possono essere adottate, infine la procedura da seguire. Allo stesso modo, la legge non stabilisce né i limiti in ordine all’epoca cui risalgono le informazioni, né il lasso di tempo entro il quale le informazioni possono essere conservate>>.
Nella giurisprudenza di Lussemburgo non è stata operata sinora una sistematica distinzione tra i due diritti. Al contrario, si registra la tendenza a instaurare una stretta interrelazione.
Nelle cause riunite Rechnungshof c. Österreichischer Rundfunk e a. e
Neukomm e Lauermann c. Österreichischer Rundfunk, la Corte di
giustizia ha osservato che le disposizioni della direttiva 95/46/CE devono essere interpretate alla luce dei diritti fondamentali, in particolare il diritto alla vita privata114. Essa ha verificato la sussistenza di un’interferenza con il diritto di cui all’art. 8 CEDU, prescindendo dalle regole specificamente dettate dalla direttiva e mostrando di considerare la protezione dei dati come un mero aspetto del diritto alla privacy.
La Corte di giustizia, per la prima volta, ha riconosciuto espressamente un distinto diritto alla protezione dei dati personali, attribuendo ad esso lo status di diritto fondamentale nell’ordinamento dell’Unione, nel caso Promusicae, che si colloca in una fase in cui la the content of the safeguards to be applied at the various crucial stages in the subsequent processing of the data […]>>.
114
CGCE, 20.5.2003, cause riunite C-465/00, C-138/01 e C-139/01, Rechnungshof
c. Österreichischer Rundfunk e a. e Neukomm e Lauermann c. Österreichischer Rundfunk, § 68.
56
Carta di Nizza è già stata proclamata, ma non ha ancora acquisito valore giuridicamente vincolante. Osservato che nella vicenda in esame venivano in gioco il diritto di proprietà intellettuale e il diritto ad una tutela giurisdizionale effettiva, la Corte sottolinea che <<risulta coinvolto, oltre ai due suddetti diritti, anche un altro diritto fondamentale, vale a dire quello che garantisce la tutela dei dati personali e, quindi, della vita privata>>.Tuttavia, nonostante questo spiraglio lasciasse presagire un’autonoma enunciazione del diritto alla protezione dei dati, il successivo ragionamento della Corte ha subito un’involuzione e non è stato in grado di sviluppare quelle significative premesse. La Corte, infatti, si è limitata a ricordare come dal considerando 2 della direttiva 2002/58/CE si evinca che essa mira a garantire i diritti di cui agli artt. 7 e 8 della Carta, senza precisare quali previsioni sia possibile sussumere sotto l’alveo dell’uno e dell’altro. Addirittura, la Corte retrocede rispetto all’apertura iniziale, concludendo che la soluzione del caso impone di riconciliare <<da una parte, il diritto al rispetto della vita privata e, dall’altra, i diritti alla tutela della proprietà e ad un ricorso effettivo>>115.
Più recentemente, nella decisione Schecke ed Eifert, la Corte ha fuso i due diritti sino a formare una fattispecie ibrida, attraverso il riferimento al diritto al rispetto della vita privata con riguardo al trattamento dei dati personali, in una lettura congiunta degli artt. 7 e 8 della Carta di Nizza116.
L’esigua casistica della giurisprudenza della Corte di giustizia denota una certa fatica nell’emancipare il diritto alla protezione dei dati personali, che tende ad essere relegato all’ombra del diritto alla
privacy. Il primo viene considerato, di volta in volta, o alla stregua di
un sinonimo o degradato al rango di mera componente interna del secondo, e non riesce a trovare autonomo spazio.
115
CGCE, 29.1.2008, causa C-275/06, Productores de Música de España
(Promusicae) c. Telefónica de España SAU, §§ 63-65.
116
CGUE, 9.11.2010, cause riunite C-92/09 e C-93/09, Volker und Markus Schecke
57
La dottrina criticamente ha osservato che la linea di pensiero seguita dai giudici di Lussemburgo è permeata da una sorta di “privacy
thinking”117 o, più coloritamente, che consiste nel “mettere vino nuovo in botti vecchie”118
.
La critica è pienamente condivisibile, perché il modus operandi seguito dalla Corte di giustizia ha inibito le potenzialità di sviluppo del “nuovo” diritto sancito dall’art. 8 della Carta dei diritti dell’UE, trascurando di chiarire in maniera analitica la sua autonoma portata. Si auspica, pertanto, che la giurisprudenza, che si svilupperà sulla base del nuovo regolamento, possa superare tale situazione di
empasse e precisare gli obiettivi sottesi alla disciplina in materia di
protezione dei dati, contribuendo ad una più efficace applicazione del sistema di tutela.